Privacy: un anno per adeguarsi al GDPR
Esattamente un anno fa è entrato in vigore il GDPR (Regolamento europeo n. 679 del 27 aprile 2016, concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione degli stessi), che diventerà direttamente applicabile in tutti gli Stati membri decorsi due anni dall’entrata in vigore, ovvero a decorrere dal 25 maggio 2018.
Il Regolamento è destinato ad abrogare la Direttiva 95/46/CE, che ha portato in Italia all’adozione del D.Lgs. n. 196 del 30.06.2003 (c.d. Codice Privacy).
Entro il 25 maggio 2018 sarà, quindi, necessario adeguarsi, allineandosi alla nuova disciplina.
Di seguito gli aspetti di maggiore interesse.
AMBITO DI APPLICAZIONE MATERIALE
Il Regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.
Occorre, quindi, che vi sia un trattamento di dati personali.
L’art. 4 del Regolamento definisce “dato personale”, conformemente a quanto previsto nel nostro Codice privacy, “qualsiasi informazione riguardante una persona fisica identificata o identificabile”. Sono dati personali, ad esempio, i dati anagrafici di una persona fisica, l’indirizzo di posta elettronica e i suoi recapiti.
Per “Trattamento” si intende, invece, “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.
La novità rispetto alla vigente normativa è che essa trova applicazione anche nel caso di trattamento non automatizzato che riguardi “dati personali contenuti in un archivio o destinati a figurarvi” (intendendosi per “archivio”: “qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico”).
AMBITO DI APPLICAZIONE TERRITORIALE
Il Regolamento trova applicazione – oltre che al trattamento dei dati personali effettuato da chi è stabilito nell’Unione europea – anche nel caso di trattamento di dati di interessati che si trovano nell’Unione, effettuato da un titolare o da un responsabile che non è stabilito nell’Unione, quando le attività di trattamento riguardano: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati, indipendentemente dall’obbligatorietà di un pagamento dell’interessato, oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione (cfr. art. 3 Regolamento).
È stato dunque mantenuto il criterio dello stabilimento (per cui la normativa europea dovrà essere osservata dall’impresa con sede in Italia o in altro paese UE), ma al contempo viene dato rilievo anche al luogo in cui si trovano gli interessati, con la conseguenza che anche una società con stabilimento extra UE sarà tenuta a rispettare il Regolamento quando il trattamento riguardi l’offerta di beni o servizi a soggetti che siano nell’Unione oppure il monitoraggio del loro comportamento.
Per comprendere quando un’impresa offra beni o servizi ad interessati che si trovano nell’Unione, basterà leggere il considerando 23): “mentre la semplice accessibilità del sito web del titolare del trattamento, del responsabile del trattamento o di un intermediario nell’Unione, di un indirizzo di posta elettronica o di altre coordinate di contatto o l’impiego di una lingua abitualmente utilizzata nel paese terzo in cui il titolare del trattamento è stabilito sono insufficienti per accertare tale intenzione, fattori quali l’utilizzo di una lingua o di una moneta abitualmente utilizzata in uno o più Stati membri, con la possibilità di ordinare beni e servizi in tale altra lingua, o la menzione di clienti o utenti che si trovano nell’Unione possono evidenziare l’intenzione del titolare o del responsabile del trattamento di offrire beni o servizi agli interessati nell’Unione”.
È stato quindi ampliato l’ambito di applicazione della normativa in materia di privacy, venendo estese le garanzie ivi previste in capo agli interessati/cittadini europei anche nel caso di trattamento effettuato al di fuori dell’Unione.
CASI DI ESCLUSIONE
La nuova disciplina non trova applicazione nelle ipotesi elencate all’art. 2 comma 2 del Regolamento, ovvero nel caso di trattamenti effettuati:
- per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;
- dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, Trattato UE (politica estera e sicurezza);
- da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;
- dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.
LE FIGURE PREVISTE DAL REGOLAMENTO
Accanto alle tradizionali figure del Titolare (coincidente con il soggetto cui competono le decisioni in ordine ad un determinato trattamento), del Responsabile (ovvero il soggetto preposto dal Titolare ad un trattamento di dati) e dell’Incaricato (seppur non specificatamente menzionato dalla nuova normativa, comunque ricavabile dalla definizione di “terzo” all’art. 4 n. 10, ove è fatto riferimento a qualsiasi persona fisica autorizzata a compiere operazioni di trattamento dal Titolare o dal Responsabile), il Regolamento ha introdotto all’art. 37 la figura del Responsabile della protezione dei dati personali (Data Protection Officer – DPO).
Il titolare del trattamento e il responsabile sono tenuti a designare un DPO dei dati personali quando:
- il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di dati sensibili e giudiziari.
Il DPO dovrà possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali; adempiere alle sue funzioni in piena autonomia e senza ricevere istruzioni.
Nello svolgimento dei suoi compiti, dovrà principalmente:
- informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo;
- verificare l’attuazione e l’applicazione della normativa, compresi la sensibilizzazione e la formazione del personale e gli audit relativi;
- fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
- fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti;
- fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.
Quanto alle figure tradizionali, il nuovo impianto normativo e l’introduzione di nuovi principi (quali quello di accountability, di privacy by design e by default, di cui si dirà nel prosieguo) richiederà un maggior grado di preparazione e competenze specifiche (si pensi, a titolo meramente esemplificativo, in ambito di conservazione digitale dei documenti) a tutti i soggetti coinvolti, con la conseguenza che dovrà essere attuata un’adeguata e specifica formazione del personale.
Principali novità:
- l’art. 28 del Regolamento specifica più dettagliatamente, rispetto all’art. 29 del Codice Privacy, le caratteristiche dell’atto con cui il titolare designa il responsabile del trattamento (“contratto o altro atto giuridico a norma del diritto dell’Unione o degli Stati membri”) ed il suo contenuto;
- è prevista la nomina di sub-responsabili del trattamento, previa autorizzazione scritta del titolare, nel rispetto degli stessi obblighi contrattuali che vincolano titolare e responsabile.
Adempimenti:
- verificare che i contratti che attualmente disciplinano i rapporti con i responsabili del trattamento siano conformi alle previsioni di cui all’art. 28;
- designare un DPO, oltre che nei casi in cui vi è l’obbligo, anche per le aziende che non sono espressamente tenute, come suggerito anche dai Garanti europei (vedi Linee Guida sui responsabili della protezione dei dati del 13 dicembre 2016 https://www.garanteprivacy.it.
CONSENSO
L’art. 6 del Regolamento specifica i presupposti di liceità del trattamento, che coincidono sostanzialmente con quelli attualmente previsti dal Codice Privacy (consenso, esecuzione di un contratto, adempimento di un obbligo di legge, salvaguardia degli interessi vitali dell’interessato o di terzi, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi).
In particolare, il Regolamento esplicita la definizione di consenso come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
La richiesta di una manifestazione di volontà inequivocabile potrebbe avere un grosso impatto nella prassi, posto che, ad esempio, un semplice flag potrebbe non essere ritenuto più sufficiente per la manifestazione di consenso.
Principali novità:
- l’art. 7 del Regolamento prevede, qualora il trattamento sia basato sul consenso, che il responsabile del trattamento debba essere in grado di dimostrare la volontà espressa dall’interessato;
- se il consenso dell’interessato è manifestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta deve essere presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Il consenso reso in violazione al Regolamento non è vincolante, nemmeno in parte;
- quando il trattamento riguarda dati sensibili, il Regolamento stabilisce che il consenso venga prestato dall’interessato, oltre che in maniera preventiva e inequivocabile, anche in modo esplicito. Lo stesso vale per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione, art. 22);
- il consenso non deve essere necessariamente documentato per iscritto, né è richiesta la forma scritta (anche se questa modalità è idonea a configurare il consenso esplicito e la sua inequivocabilità).
Adempimenti:
- entro il 25 maggio 2018 raccogliere il consenso degli interessati in conformità a quanto prescritto dal Regolamento;
- esaminare la modulistica e verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste rivolte all’interessato, sia comprensibile ed utilizzi un linguaggio semplice e chiaro.
INFORMATIVA
Il Regolamento stabilisce all’art. 12 l’adozione di misure appropriate a fornire all’interessato tutte le informazioni necessarie e le comunicazioni relative al trattamento “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori”.
Le informazioni dovranno essere fornite per iscritto o con altri mezzi, se del caso anche mediante strumenti elettronici. Se richiesto dall’interessato, le informazioni potranno essere fornite oralmente, purché l’identità dell’interessato sia provata con altri mezzi.
L’informativa, quindi, continuerà a rivestire rilevanza fondamentale, prevedendo un contenuto molto più dettagliato, come specificato agli artt. 13 e 14 del Regolamento.
Principali novità:
- nel caso di dati personali non raccolti direttamente presso l’interessato (art. 14), l’informativa deve essere fornita entro un termine ragionevole e, comunque, non oltre 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato).
Adempimenti:
- verificare la rispondenza delle informative al contenuto delineato dagli artt. 13 e 14, apportando modifiche ed integrazioni entro il 25 maggio 2018;
- adottare le misure organizzative interne idonee a garantire il rispetto della tempistica prevista per l’informativa nel caso di dati personali non raccolti direttamente presso l’interessato.
NUOVI DIRITTI DELL’INTERESSATO
- DIRITTO ALL’OBLIO
L’art. 17 del Regolamento riconosce espressamente il diritto all’oblio, definito dalla giurisprudenza come il diritto di un individuo ad essere dimenticato. La norma prevede che l’interessato abbia il diritto di ottenere la cancellazione (anche on-line) dei propri dati personali, ove ricorrano i seguenti motivi:
- i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
- l’interessato revoca il consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento;
- l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
- i dati personali sono trattati illecitamente;
- i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
- i dati personali sono stati raccolti relativamente all’offerta di servizi della società di informazione ai minori.
Accanto al predetto diritto, sorge in capo al titolare del trattamento l’obbligo di informare della richiesta di cancellazione gli altri titolari che trattano i dati personali.
La norma prevede alcuni casi in cui l’interessato non può esercitare tale diritto; ad esempio, quando il trattamento è necessario a garantire l’esercizio della libertà di espressione e di informazione o il diritto di difesa in sede giudiziaria, ovvero per tutelare un interesse generale, quale la salute pubblica, oppure quando i dati, resi anonimi, sono necessari per la ricerca storica o per finalità statistiche o scientifiche.
- ii) DIRITTO ALLA PORTABILITA’ DEI DATI
Introdotto all’art. 20 del Regolamento, consiste nel diritto dell’interessato a ricevere – in formato strutturato, di uso comune e leggibile da dispositivo automatico – i dati personali che lo riguardano forniti a un titolare del trattamento, con il fine di trasmetterli ad un altro titolare.
Non si applica ai trattamenti non automatizzati (archivi o registri cartacei).
Sono portabili solo i dati trattati in forza del consenso dell’interessato o di un contratto stipulato con lo stesso (non si applica, quindi, al trattamento effettuato per adempiere ad un obbligo di legge, basato sull’interesse pubblico oppure sull’interesse legittimo del titolare).
Quando tecnicamente possibile, l’interessato ha diritto ad ottenere che i dati siano trasferiti direttamente da un titolare ad un altro.
Adempimenti:
- predisporre le misure tecniche e organizzative necessarie a favorire l’esercizio dei diritti e il riscontro alle richieste presentate dagli interessati in conformità alle previsioni introdotte dal Regolamento.
NUOVI OBBLIGHI
i) PRINCIPIO DI ACCOUNTABILITY
Il principio di accountability (rendicontazione/responsabilizzazione), contemplato dalla nuova normativa europea, si traduce in un approccio proattivo ed obblighi più pregnanti, i quali si concretizzano nel dimostrare l’adozione delle misure tecniche ed organizzative atte a garantire l’applicazione del Regolamento.
ii) PRIVACY BY DESIGN e BY DEFAULT
Sono i due principi chiave, previsti all’art. 25 del Regolamento, di cui il titolare deve tenere conto nell’adozione di misure tecniche ed organizzative.
Il primo significa protezione dei dati sin dal momento della progettazione. Il secondo richiede, invece, l’adozione di misure tecniche ed organizzative adeguate a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.
iii) REGISTRI DELLE ATTIVITA’ DI TRATTAMENTO
Il titolare e il responsabile hanno l’obbligo di tenere un registro delle rispettive attività di trattamento svolte sotto la loro responsabilità, contenente le informazioni indicate all’art. 30 del Regolamento (tra cui vi sono, ad esempio, le finalità del trattamento, una descrizione delle categorie di interessati e di dati personali, i destinatari a cui i dati sono stati comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali e, ove possibile, i termini previsti per la cancellazione delle diverse categorie di dati etc…).
I registri devono essere tenuti in forma scritta (anche in formato elettronico) ed essere esibiti su richiesta al Garante.
L’obbligo non si applica alle imprese od organizzazioni con meno di 250 dipendenti, salvo che il trattamento effettuato dalle stesse presenti un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o comprenda il trattamento di categorie particolari di dati indicati all’art. 9 paragrafo 1, pressoché coincidenti con l’attuale definizione di dati sensibili, o i dati personali relativi a condanne penali e a reati di cui all’art. 10 del Regolamento.
Adempimenti:
- si consiglia a tutti i titolari e responsabili, a prescindere dalle dimensioni delle aziende, di dotarsi di tali registri ed effettuare una ricognizione dei trattamenti effettuati, anche nell’ottica della valutazione di impatto e dell’analisi dei rischi.
iv) SICUREZZA DEI DATI
Il Regolamento innalza il livello di sicurezza del trattamento dei dati. Non si parla più di misure minime – che non saranno ritenute sufficienti -, bensì di misure adeguate, essendo quindi richiesto alle aziende di fare di più.
Precisamente, il titolare e il responsabile dovranno mettere “in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.
Il Regolamento non prevede un elenco esaustivo di misure di sicurezza, ma un’esemplificazione, all’art. 32, che annovera:
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Per valutare l’adeguato livello di sicurezza occorrerà tenere conto, in particolare, dei rischi di distruzione, perdita, modifica, divulgazione non autorizzata o accesso accidentale o illegale a dati personali trasmessi, conservati o comunque trattati.
L’applicazione di un codice di condotta (disciplinato all’art. 40) o a un meccanismo di certificazione (art. 42) potranno essere utilizzati come elemento per dimostrare la conformità ai requisiti delle misure di sicurezza.
Adempimenti:
- verificare l’adozione delle prescrizioni contenute nell’Allegato B del Codice, che potranno essere valutate dall’Autorità nella definizione di linee-guida o buone prassi sulla base dei risultati positivi conseguiti negli anni;
- valutare l’adozione di misure di sicurezza più efficaci, che garantiscano un livello di sicurezza adeguato al rischio.
v) DATA BREACH
Il Regolamento introduce l’obbligo per tutti i titolari – attualmente previsto solo per i fornitori di servizi di comunicazione elettronica accessibili al pubblico – di notificare all’autorità di controllo (i.e. al Garante della Privacy) ogni violazione di dati personali “senza ingiustificato ritardo” e comunque entro 72 ore da quando ne hanno conoscenza. Ciò, salvo essi ritengano improbabile che da tale violazione derivino rischi per i diritti e le libertà delle persone fisiche.
La notifica dovrà contenere:
- la descrizione della natura della violazione e, se possibile, le categorie e il numero approssimativo di interessati;
- i dati di contatto del DPO o di altro punto di contatto presso cui ottenere ulteriori informazioni;
- l’indicazione delle probabili conseguenze dalla violazione;
- la descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e, se del caso, per attenuare i possibili effetti negativi.
Qualora la violazione dei dati rappresenti sia suscettibie di presentare un rischio elevato (un rischio maggiore quindi a quello richiesto per la notifica all’autorità) per i diritti e le libertà delle persone fisiche, il titolare dovrà, altresì, informare in modo chiaro, semplice e immediato gli interessati, offrendo loro delle indicazioni su come limitare le possibili conseguenze negative.
Tale informazione non sarà, tuttavia, necessaria quando:
- siano state messe in atto misure di sicurezza adeguate a tutelare i dati violati;
- siano state successivamente adottate misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
- comporti uno sforzo sproporzionato. Si procede comunque ad una comunicazione pubblica e/o adatta a raggiungere quanti più interessati possibile.
L’autorità di controllo può, in ogni caso, chiedere al titolare di provvedere alla comunicazione agli interessati.
Adempimenti:
- adottare le misure necessarie a documentare eventuali violazioni, atteso che il Garante potrebbe richiedere tale documentazione in caso di accertamenti.
vi) VALUTAZIONE DI IMPATTO
La valutazione di impatto (data protection impact assessment e/o privacy impact assessment) è una delle novità più rilevanti del Regolamento e trova un’espressa disciplina all’art. 35. Sostituisce l’obbligo generale di notificare alle autorità di controllo il trattamento dei dati personali, in applicazione del principio di responsabilizzazione.
Prima di procedere al trattamento e ogniqualvolta si ravvisi che un trattamento possa comportare rischi ai diritti e alle libertà dei singoli individui, il titolare (coadiuvato dal DPO) dovrà effettuare la valutazione di impatto del trattamento. Nell’effettuare ciò dovranno essere tenuti in considerazione: la natura e il tipo di dati, la finalità del trattamento e l’uso delle tecnologie coinvolte.
La valutazione d’impatto è obbligatoria nei casi di:
- valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, sulla quale si fondano decisioni che hanno effetti giuridici e incidono su dette persone fisiche;
- trattamento su larga scala di categorie particolari di dati personali;
- sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
All’esito di questa valutazione il titolare potrà decidere in autonomia se iniziare il trattamento (avendo adottato le misure adeguate a attenuare il rischio per la protezione dei dati), ovvero consultare l’autorità di controllo per ottenere indicazioni su come gestire il rischio residuale.
SANZIONI
L’impianto sanzionatorio viene uniformato per tutti gli Stati membri dell’UE e inasprito: sono previste sanzioni fino ad € 20.000.000,00 o, per le imprese, fino al 4% del fatturato annuo dell’esercizio precedente.
Nella determinazione della sanzioni amministrative l’autorità di controllo dovrà considerare diversi elementi, tra cui: la natura, la gravità e la durata della violazione, il carattere colposo o doloso della stessa e le misure adottate dal titolare.
Saranno, inoltre, gli Stati membri a stabilire le norme relative alle altre tipologie di sanzioni, assicurando la proporzionalità e l’efficacia dissuasiva. In Italia, in particolare, si ritiene verrà mantenuto l’attuale quadro sanzionatorio degli illeciti penali di cui al Codice Privacy, con le modifiche necessarie in conformità al Regolamento.
Iscriviti alla Newsletter